قانون HIPAA از اطلاعات سلامت افراد محافظت می کند اما، نه به روشی که مردم آمریکا فکر می کنند!!
حرف "p" در پروتکل HIPAA به معنای حفظ حریم خصوصی نیست. این اولین چیزی است که متخصصان در مورد قانون داده های سلامت افراد می گویند. این حرف مخفف عبارت " Insurance Portability and Accountability Act" به معنای قانون قابل حمل و پاسخگویی بیمه درمانی است. این قانون نحوه انتقال اطلاعات بین ارائه دهندگان را توضیح می دهد. تفسیرهای نادرست از قانون HIPAA، بهویژه در خصوص نام آن سوءتفاهمهای زیادی بین مردم ایجاد کرده است. این سوءتفاهمها مانع از تشخیص درست ما در مورد نوع داده هایی است که می تواند تحت تاثیر این قانون قرار بگیرد. این موضوع زمانی بیشتر پر رنگ تر می شود که تعداد دستگاه ها یا شرکت های ارائه دهنده خدمات فناوری که می توانند اطلاعات مربوط به وضعیت سلامتی را جمع آوری کنند روز به روز در حال افزایش است!
بیشتر مردم پروتکل HIPAA را به عنوان بخشی از قانون حفظ حریم خصوصی دادههای مصرفکننده می شناسند. شاید به این علت که وزارت بهداشت از مقررات امنیتی خاصی مانند مقررات اعلان نقض و یک قانون حفظ حریم خصوصی سلامت برای محافظت از اطلاعات شناسایی فردی استفاده می کند. اما زمانی که قانون HIPAA در دهه 1990 تصویب و به مرحله اجرایی رسید، هدف اصلی آن بهبود نحوه کار ارائه دهندگان با شرکت های بیمه بود. دانیل سولو، استاد دانشگاه جورج واشنگتن و مدیر عامل شرکت آموزش حفظ حریم خصوصی TeachPrivacy در این مورد گفت:« اگر بخواهم ساده بگویم، مردم فکر میکنند که HIPAA بیش از آنچه که در حقیقت انجام می دهد می تواند از داده های سلامت آنها محافظت کند.».
به گفته Cobun Zweifel-Keegan، مدیر عامل انجمن بین المللی حریم خصوصی قانون HIPAA با دو مانع بزرگ در حوزه فعالیت خود مواجه است:
مانع اول: این قانون فقط شامل تعداد محدودی از نهادها و سازمان ها میشود. این نهادها می توانند ارائه دهندگان خدمات پزشکی مانند پزشکان و شرکتهای بیمه سلامت باشند.
مانع دوم: این قانون فقط شامل بخش کمی از دادهها را در بر می گیرد. این دادهها شامل سوابق پزشکی و سایر اطلاعات مربوط به وضعیت سلامتی افراد میشوند که توسط نهادهای تحت پوشش HIPAA مورد استفاده قرار می گیرند.
به عنوان مثال: پزشک شما نمیتواند اطلاعات مربوط به وضعیت واکسیناسیون شما را به یک شرکت تبلیغاتی بفروشد. اما یک برنامه تناسب اندام (که تحت پوشش قانون HIPAA نیست) میتواند اطلاعات مربوط به گامها و ضربان قلب شما را به یک شرکت تبلیغاتی بفروشد. به عبارت دیگر، HIPAA فقط از بخشی از دادههای سلامت شما در برابر برخی از سازمانها محافظت میکند.
خانم سولوو گفت: "HIPAA فقط شامل اطلاعات مربوط به مراقبتهای پزشکی و پرداخت آن میشود. این قانون شامل اطلاعاتی که با کارفرما یا مدرسه شما به اشتراک گذاشته میشود مانند یادداشت های بیماری نمی شود. با این حال، اگر کسی با پزشک شما تماس بگیرد تا تشخیص بیماری شما را تأیید کند، HIPAA از پزشک شما در برابر به اشتراک گذاشتن جزئیات بیشتر بیماری شما محافظت میکند."
اما در طول 30 سال گذشته، چیزهای زیادی تغییر کرده است. قانونگذاران HIPAA هیچ وقت پیشبینی نمیکردند که ما امروز چه مقدار از دادههای خود را با دیگران به اشتراک میگذاریم که بسیاری از آنها بخشی از اطلاعات خصوصی ما را تشکیل می دهند. نکته جالب تر این که، این اطلاعات تحت پوشش قانون HIPAA قرار نمی گیرد.
خانم تین، وکیل ارشد شرکت Electronic Frontier میگوید: "زمانی که HIPAA تصویب شد، هیچ کس پیشبینی نمیکرد که جهان در آینده به چه سمتی خواهد رفت. قانون HIPAA بد نیست اما، نمیتواند با وضعیتی که امروز در آن هستیم هماهنگی برقرار کند. شما به صورت دائم دادههای خود را با افراد دیگری که نه پزشکند و نه پرسنل بیمه، به اشتراک میگذارید."
به تمام دادههایی که در مورد ما روزانه جمعآوری میشود که میتواند یک دید کلی در مورد وضعیت سلامتی ما ارائه دهد، خوب فکر کنید. به عنوان نمونه: برنامه Noom رژیم غذایی شما را دنبال می کند. برنامه Peloton میزان فعالیت شما را زیر نظر دارد یا حتی هنگام خواب شما را کنترل می کند. Medisafe برنامه مصرف قرص های روزانه شما را می داند. برنامه Betterhelp وضعیت سلامت روانی شما را می تواند ببیند. Betterhelp حدود یک سال پیش توسط کمیسیون FTC به خاطر افشای این اطلاعات به تبلیغکنندگان محکوم شد. این اطلاعات می تواند برای فروش مکمل های غذایی یا قرص های خواب آور یا هر چیز دیگری مورد استفاده قرار بگیرد. Solove گفت: «دادههای بهداشتی میتواند کاربردهای نامحدود داشته باشد.بنابراین اگر HIPAA هیچ محدودیتی در مورد نهادهای تحت پوشش نداشت، این قانون نیز می توانست شرکت های بیشتری را تحت پوشش قرار دهد.»
علاوه بر این، شرکتها میتوانند از دادههای دیگر برای استنباط اطلاعات مربوط به سلامت ما استفاده کنند. به عنوان مثال: سال 2012، نیویورک تایمز گزارشی منتشر کرد در مورد اینکه چگونه شرکت Target با استفاده از اطلاعات جستجو و خرید آنلاین، بارداری یک زن را پیشبینی کرده بود.
از سوی دیگر، قانون HIPAA احتمال دارد از اطلاعات پزشکی شما در برابر مجریان قانون محافظت نکند. پلیس می تواند حتی بدون حکم، با ادعای اینکه شما مظنون یا قربانی یک جنایت هستید، به سوابق پزشکی شما دسترسی پیدا کند. پلیس از داروخانهها برای جمعآوری دادههای پزشکی مظنونان استفاده می کند و میتواند از اطلاعات مکان برای ردیابی افراد به کلینیکهای خاص استفاده کند.
به همین دلیل، قوانینی مانند HIPAA جلوی تعقیب افراد به دلیل تصمیمات مربوط به مراقبتهای بهداشتی آنها را نمیگیرد. امروزه، برخی از ایالتها در آمریکا قوانین جدیدی را در مورد حفاظت بیشتر از دادههای سلامت افراد وضع کرده اند. این قوانین فراتر از پروندههای پزشکی و ارائهدهندگان مراقبتهای بهداشتی است و دادههای سلامت افراد مانند ضربان قلب و ... را در بر می گیرد. این قوانین در ایالتهای مختلف با هم فرق دارد. به عنوان مثال: ایالت کالیفرنیا به افراد اجازه میدهد تا در صورت سهل انگاری در حفظ حریم خصوصی اطلاعات پزشکی، از خاطیان شکایت کنند. ایالت پنسیلوانیا اقدامات بیشتری در مورد نقض دادهها برای مصرفکنندگان ارائه میدهد.
طبق بیانیه مطبوعاتی دفتر دادستان کل دادگستری ایالت واشنگتن، قانون «سلامت من، دادههای من» که سال گذشته در این ایالت تصویب شد، در راستای «حفاظت از دادههای سلامت شخصی است که خارج از محدوده قانون قابلیت حمل و پاسخگویی بیمه سلامت را دارد» صورت گرفت. طبق قانون جدید هر نهادی که در ایالت واشنگتن فعالیت می کند و با اطلاعات سلامت جسمی یا روانی گذشته، حال یا آینده مصرف کننده سر و کار دارد، باید از قانون حریم خصوصی پیروی کند. این مقررات شامل حق عدم فروش داده های سلامتی کاربران بدون اجازه آنها و حذف داده های پزشکی از طریق درخواست کتبی می شود. بر اساس این قانون، بر خلاف HIPAA، اپلیکیشنی که دوز دارو و برنامه زمانی فرد یا پیش بینی وضعیت بارداری را کنترل میکند نیز باید از این قوانین پیروی کنند.